当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0146967

漏洞标题:食品安全到信息安全之饿了么一根烟头引发的血案(至少涉及9946名内部员工密码和个人信息等)

相关厂商:饿了么

漏洞作者: 路人甲

提交时间:2015-10-15 15:18

修复时间:2015-12-03 17:53

公开时间:2015-12-03 17:53

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-15: 细节已通知厂商并且等待厂商处理中
2015-10-19: 厂商已经确认,细节仅向厂商公开
2015-10-29: 细节向核心白帽子及相关领域专家公开
2015-11-08: 细节向普通白帽子公开
2015-11-18: 细节向实习白帽子公开
2015-12-03: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

首先我是忠实的饿了么用户,然而在某商家定的饭菜吃到一半有根烟头,顿时作呕,近期一次不愉快的订餐!所以一赌气有了下文!
标题只写了一个问题,其实是各种问题打包提交的。
这不只是信息安全问题,也是食品安全问题!

详细说明:

事情经过:
在饿了么某商家订餐吃到一半吃到烟头,顿时心塞!让后电话找商家理论,说加微信。
加微信好久才通过请求,然后也代答不理的拖了几个小时,最后投诉到饿了么官方,
最后才做了退款和反红包处理,同时该商家承诺第二天在他家订餐全天免单,
然后这是屁话,谁还会在你家吃!如果吃出问题又该找谁!!

z1.png


z2.png


z3.png


z4.png


看上去得到解决,其实然并卵。
“食品安全”是OTO重心吖。
一赌气,看看eleme的“信息安全”情况

漏洞证明:

倒序输出,先说重点漏洞:
1.费控系统SQL注入致9946个员工信息泄露,包含密码,成功登陆admin账户。
http://aone.rajax.me:7002/

mask 区域 
*****nghong*****
*****nghong*****


这种账号太多,这个是低权限,就想弄个高权限的,本来想找上传点传shell,
jsp文件是传上去了,但是没有回显路径,心痛。
但是返回一个链接
http://aone.rajax.me:7002/atm_download.svc?attachment_id=36215
居然是注入点,开心,头天晚上SQLMAP没跑出来,后台发现是版本低,升级下成功出数据

a0.png


a1.png


a3.png


a4.png


a5.png


近1W员工的账号密码、个人信息等等,admin的密码成解密
只取了前几个做证明

mask 区域 
*****号^*****
*****:Bu*****


功能超级强大、涉及都是财务方面的,不多显示了

3.1.png


3.2.png


3.6.png


3.4.png


3.3.png


3.5.png


危害:其他内部系统很多账号密码都是通用的
2.itsm系统登陆,随便一个账号
http://itsm.rajax.me/ITSM_FE/html/login.html

1.png


3.crm.rajax.me系统mongodb未授权
mongodb://crm.rajax.me:27017

6.png


4.上千新邮箱没改密码,且该邮箱系统还赶不上腾讯呢,随便爆破

6.png


mask 区域 
1.://**.**.**//mail.rajax.me_
*****码:El*****


mask 区域 
*****o.ch*****
*****g.l*****
*****g.l*****
*****n.s*****
*****.ye*****
*****n.h*****
*****tan*****
*****g.z*****
*****n.d*****
*****ng.*****
*****zhu*****
*****ng.*****
*****.ji*****
*****an.*****
*****un.*****
*****zha*****
*****g.t*****
*****ang*****
*****uw*****
*****ing*****
*****in.*****
*****zha*****
*****an.z*****
*****xu.*****
*****u.ji*****
*****n.ya*****
*****jie*****
*****ang.*****
*****.zh*****
*****ng.*****
*****ong*****
*****ong*****
*****n.s*****
*****n.l*****
*****n.l*****
*****ang*****
*****.zh*****
*****i.w*****
*****eng*****
*****n.j*****
*****.cha*****
*****an.*****
*****ng.*****
*****ng.*****
*****.zha*****
*****ng.*****
*****ng.*****
*****ng.*****
*****ng.*****
*****n.w*****
*****n.x*****
*****an.*****
*****a.s*****
*****ng.*****
*****ng.*****
*****ng.*****
*****ao.*****
*****.pe*****
*****.gu*****
*****.gu*****
*****.l*****
*****u.x*****
*****u.j*****
*****a.w*****
*****in.*****
*****ei.*****
*****ao.*****
*****eng.*****
*****ng.w*****
*****eng.*****
*****.wa*****
*****eng*****
*****ng.l*****
*****yan*****
*****ren*****
*****n.*****
*****gao*****
*****.y*****
*****.h*****
*****hen*****
*****.na*****
*****ing*****
*****ing*****
*****an.*****
*****un.*****
*****ui.*****
*****han*****
*****jin*****
*****fan*****
*****.xi*****
*****yan*****
*****i.*****
*****liu*****
*****n.l*****
*****tia*****
*****n.c*****
*****.do*****
*****ng.*****
*****.wa*****
*****.ta*****
*****.hu*****
*****.hu*****
*****ya*****
*****bi*****
*****o.x*****
*****.re*****
*****n.g*****
*****.zo*****
*****ng.*****
*****ng.*****
*****.zha*****
*****.ma*****
*****g.l*****
*****ng.*****
*****zha*****
*****wan*****
*****.jia*****
*****ng.*****
*****ng.*****
*****ng.*****
*****n.h*****
*****eng*****
*****.y*****
*****g.m*****
*****g.c*****
*****g.z*****
*****cao*****
*****.su*****
*****n.z*****
*****.zh*****
*****.sh*****
*****.hu*****
*****g.h*****
*****g.l*****
*****g.y*****
*****g.c*****
*****.li*****
*****.li*****
*****n.c*****
*****o.c*****
*****ng.*****
*****ng.*****
*****han*****
*****ang*****
*****.s*****
*****.h*****
*****.g*****
*****ang*****
*****hen*****
*****n.zh*****
*****n.du*****
*****g.ch*****
*****u.l*****
*****g.ji*****
*****zho*****
*****yan*****
*****niu*****
*****ya*****
*****wa*****
*****sh*****
*****lu*****
*****u01*****
*****li*****
*****le*****
*****ang*****
*****go*****
*****fu*****
*****ca*****
*****g.z*****
*****an.*****
*****ng.*****
*****ng.s*****
*****ai.*****
*****ng.y*****
*****ng.k*****
*****en.*****
*****g.zh*****
*****ian*****
*****ian*****
*****ang*****
*****un.*****
*****ui.*****
*****ui.*****
*****en.*****
*****u.l*****
*****g.*****
*****g.*****
*****xie*****
*****xia*****
*****mao*****
*****g.*****
*****luo*****
*****liu*****
*****yon*****
*****g.w*****
*****g.y*****
*****.wa*****
*****g.w*****
*****ing*****
*****ang.*****
*****ie.*****
*****i.y*****
*****g.*****
*****gua*****
*****che*****
*****.s*****
*****g.p*****
*****.li*****
*****n.w*****
*****g.h*****
*****g.p*****
*****.qi*****
*****n.p*****
*****n.d*****
*****.lv*****
*****ang*****
*****yu*****
*****xi*****
*****xi*****
*****lo*****
*****li*****
*****ga*****
*****g.l*****
*****g.f*****
*****ang*****
*****ji*****
*****.zh*****
*****ng.*****
*****ng.*****
*****g.w*****
*****g.t*****
*****g.ch*****
*****ng.*****
*****ian*****
*****ao.*****
*****n.z*****
*****n.h*****
*****i.z*****
*****ng.*****
*****.zha*****
*****ng.*****
*****.zh*****
*****shang*****
*****ang*****
*****zha*****
*****zha*****
*****zha*****
*****sun*****
*****nie*****
*****g.*****
*****g.*****
*****g.*****
*****jia*****
*****gao*****
*****bai*****
*****ng.*****
*****ng.*****
*****.gu*****
*****o.w*****
*****.wa*****
*****.z*****
*****hou*****
*****ang*****
*****.s*****
*****eng*****
*****.g*****
*****hen*****
*****.zh*****
*****wan*****
*****g.l*****
*****g.h*****
*****g.t*****
*****g.s*****
*****.zh*****
*****.hu*****
*****an*****
*****n.d*****
*****.hua*****
*****ng.*****
*****i.z*****
*****.zhe*****
*****n.x*****
*****.ji*****
*****eng*****
*****ya*****
*****ngn*****
*****ha*****
*****gu*****
*****.ch*****
*****o.l*****
*****.hua*****
*****n.l*****
*****ng.*****
*****n.z*****
*****n.p*****
*****g.c*****
*****g.c*****
*****g.c*****
*****.yu*****
*****kun*****
*****.lu*****
*****e.g*****
*****an.*****
*****.ha*****
*****.zh*****
*****u.z*****
*****ng.*****
*****an.*****
*****i.l*****
*****hi.*****
*****g.ji*****
*****eng*****
*****ong*****
*****.zho*****
*****an.*****
*****e.t*****
*****zha*****
*****ren*****
*****pen*****
*****men*****
*****g.*****
*****han*****
*****han*****
*****ie1*****
*****.w*****
*****ang*****
*****eng*****
*****.l*****
*****.h*****
*****he.*****
*****un.*****
*****u.s*****
*****u.m*****
*****ao.*****
*****an.*****
*****u.z*****
*****ong*****
*****uan*****
*****ing*****
*****g.ch*****
*****in.*****
*****g.xi*****
*****ing*****
*****ing*****
*****g.do*****
*****g.ch*****
*****in.*****
*****g.wa*****
*****ei.*****
*****.jia*****
*****zhang*****
*****g.zh*****
*****g.zh*****
*****g.ch*****
*****.hua*****
*****i.s*****
*****ei.*****
*****ang*****
*****un.*****
*****un.*****
*****.zha*****
*****n.zh*****
*****ui.*****
*****.hua*****
*****g.zh*****
*****g.wa*****
*****g.ro*****
*****eng*****
*****ang*****
*****o.z*****
*****o.l*****
*****han*****
*****ou.*****
*****ei.*****
*****ei.*****
*****i.k*****
*****yu.*****
*****ang.*****
*****ru.*****
*****.ye*****
*****.wa*****
*****.ca*****
*****o.m*****
*****zha*****
*****.zha*****
*****ao.*****
*****we*****
*****o.z*****
*****.ji*****
*****.zh*****
*****g.y*****
*****g.f*****
*****ng.*****
*****eng*****
*****xu*****
*****.w*****
*****ai.*****
*****wan*****
*****o.l*****
*****ng.*****
*****o.f*****
*****o.c*****
*****i.z*****
*****ang*****
*****ang*****
*****.zh*****
*****ng.*****
*****ng.*****
*****ng.*****
*****ng.*****
*****ng.*****
*****n.c*****
*****.qi*****
*****.li*****
*****ng.*****
*****a.s*****
*****an.*****
*****a.l*****
*****o.l*****
*****ng.*****
*****i.s*****
*****.wa*****
*****.wa*****
*****n.z*****
*****n.y*****
*****ia1*****
*****ang*****
*****ong*****
*****.hua*****
*****o.c*****
*****nzi*****
*****ju*****
*****.zho*****
*****.lv*****
*****ng.*****
*****ng.*****
*****ng.*****
*****n.w*****
*****ong*****
*****han*****
*****han*****
*****ang*****
*****ang*****
*****.t*****
*****.s*****
*****.l*****
*****ius*****
*****iu1*****
*****.l*****
*****ang*****
*****.h*****
*****.g*****
*****.f*****
*****hen*****
*****.b*****
*****g.ch*****
*****eng*****
*****hen*****
*****jia*****
*****cha*****
*****.j*****
*****su*****
*****g.*****
*****wan*****
*****.wa*****
*****ng.l*****
*****in.*****
*****en.*****
*****ing*****
*****ong*****
*****she*****
*****ing*****
*****ian*****
*****ei.*****
*****un.*****
*****eng*****
*****ong*****
*****ei.*****
*****ei.*****
*****o.zh*****
*****liu*****
*****liu*****
*****g.l*****
*****o.z*****
*****hou*****
*****.x*****
*****ong*****
*****.m*****
*****ong*****
*****hen*****
*****g.l*****
*****g.g*****
*****zha*****
*****g.l*****
*****an.*****
*****zha*****
*****e
*****
*****guo*****
*****.wa*****
*****.ye*****
*****g.h*****
*****.jia*****
*****an.*****
*****n.c*****
*****an.*****
*****che*****
*****.hua*****
*****g.ze*****
*****o.y*****
*****ng.*****
*****n.s*****
*****gli*****
*****g.s*****
*****g.l*****
*****g.h*****
*****ng.q*****
*****1.y*****
*****.zh*****
*****.zh*****
*****.wu*****
*****.wa*****
*****.sh*****
*****han*****
*****ang*****
*****g.l*****
*****un.*****
*****g.z*****
*****.zha*****
*****g.wa*****
*****ang*****
*****ang*****
*****g.wa*****
*****ang*****
*****.zhe*****
*****ng.*****
*****n.t*****
*****i.t*****
*****ng.*****
*****an.*****
*****.zh*****
*****n.c*****
*****i.l*****
*****i.c*****
*****ang*****
*****hen*****
*****an.*****
*****in.*****
*****zhu*****
*****jun*****
*****hua*****
*****en.*****
*****ian*****
*****.hua*****
*****ie.*****
*****hun*****
*****ao.*****
*****n.zh*****
*****han*****
*****an.f*****
*****n.ya*****
*****n.ji*****
*****hai*****
*****.zha*****
*****lin*****
*****che*****
*****tr*****
*****ity*****
*****o.p*****
*****n.l*****
*****ng.*****
*****e.m*****
*****ng.*****
*****n.l*****
*****i.z*****
*****ng.*****
*****a.l*****
*****.x*****
*****.x*****
*****ang*****
*****iao*****
*****.l*****
*****.f*****
*****.d*****
*****g.x*****
*****un.*****
*****ui.*****
*****a.d*****
*****in.*****
*****a.z*****
*****u.x*****
*****ng.*****
*****ang*****
*****g.c*****
*****an.*****
*****g.zh*****
*****g.yu*****
*****ng.y*****
*****tia*****
*****ai*****
*****e
*****
*****e.z*****
*****i.y*****
*****ng.*****
*****o.h*****
*****eng*****
*****un.*****
*****u.z*****
*****u.w*****
*****ia.*****
*****uan*****
*****ong*****
*****g.go*****
*****ei.*****
*****ua.*****
*****ua.*****
*****an.*****
*****eng*****
*****eng*****
*****ng.y*****
*****zha*****
*****xio*****
*****g.*****
*****guo*****
*****cai*****
*****huy*****
*****.l*****
*****.h*****
*****.zh*****
*****.di*****
*****.hu*****
*****.ya*****
*****.ta*****
*****.le*****
*****iao*****
*****lin*****
*****ue.*****
*****1.x*****
*****.zh*****
*****.ya*****
*****.sh*****
*****.pa*****
*****.li*****
*****ng.w*****
*****wan*****
*****hua*****
*****ng1*****
*****ge*****
*****ga*****
*****fu*****
*****fa*****
*****yan*****
*****li*****
*****yu*****
*****li*****
*****r*****
*****.she*****
*****yao*****
*****xia*****
*****u.x*****
*****ie.*****
*****ei.*****
*****ei.*****
*****hen*****
*****zhe*****
*****zha*****
*****tao*****
*****lvc*****
*****luo*****
*****li1*****
*****jia*****
*****guo*****
*****chi*****
*****o.l*****
*****i.y*****
*****ng.*****
*****.s*****
*****ang*****
*****.g*****
*****ic*****
*****.li*****
*****g.w*****
*****.li*****
*****wan*****
*****mao*****
*****g.*****
*****hua*****
*****fei*****
*****g.l*****
*****.li*****
*****ng.*****
*****.l*****
*****ian*****
*****.c*****
*****.li*****
*****ng.*****
*****i.*****
*****i.*****
*****e.t*****
*****e.i*****
*****.we*****
*****i.s*****
*****an.z*****
*****ang*****
*****g.de*****
*****ui.*****
*****g.da*****
*****ie.*****
*****ie.*****
*****n.ge*****
*****ui.*****
*****ui.*****
*****hou*****
*****g.*****
*****g.*****
*****.l*****
*****xun*****
*****huo*****
*****an.*****
*****.che*****
*****i.t*****
*****an.*****
*****an.*****
*****ui.*****
*****ui.*****
*****.hua*****
*****g.ze*****
*****i.l*****
*****wei*****
*****liu*****
*****n.w*****
*****.zha*****
*****.zha*****
*****n.y*****
*****a.d*****
*****.h*****
*****ng_c*****
*****tes*****
*****un.*****
*****ish*****
*****i.ya*****
*****g.z*****
*****en*****
*****n.w*****
*****ei*****
*****i.*****
*****.ouy*****
*****n.y*****
*****zh*****
*****xu*****
*****su*****
*****li*****
*****g.m*****
*****rid*****
*****u.w*****
*****ng.d*****
*****ng.c*****
*****g.zh*****
*****eng*****
*****ua.*****
*****ei.*****
*****ei.*****
*****zha*****
*****sun*****
*****li1*****
*****guo*****
*****che*****
*****bai*****
*****n.y*****
*****in*****
*****.we*****
*****.yu*****
*****ang*****
*****eng*****
*****ia*****
*****g.b*****
*****ia*****
*****g.h*****
*****sh*****
*****ng.*****
*****n.s*****
*****ng.k*****
*****g.ch*****
*****g.wa*****
*****g.ko*****
*****ui.*****
*****ui.*****
*****ui.*****
*****ao.*****
*****n.k*****
*****wan*****
*****luo*****
*****n.w*****
*****liu*****
*****.s*****
*****ijn*****
*****.l*****
*****i.*****
*****hua*****
*****.ya*****
*****.zh*****
*****ui.t*****
*****sun*****
*****o.a*****
*****ng.*****
*****you*****
*****ie.*****
*****wu.*****
*****ang.*****
*****ji.*****
*****1.w*****
*****.ze*****
*****.xi*****
*****.wa*****
*****.wa*****
*****.ko*****
*****.ji*****
*****.ga*****
*****ong*****
*****ong*****
*****we*****
*****ma*****
*****ho*****
*****jia*****
*****.z*****
*****hao*****
*****ang*****
*****.x*****
*****.x*****
*****ang*****
*****ilz*****
*****uan*****
*****ang*****
*****.c*****
*****ang*****
*****ch*****
*****n.l*****
*****an.*****
*****ng.*****
*****.w*****
*****ang*****
*****.s*****
*****.n*****
*****l.*****
*****ing*****
*****.so*****
*****.wa*****
*****g.c*****
*****che*****
*****g.t*****
*****.fa*****
*****wa*****
*****qi*****
*****yan*****
*****xie*****
*****eng*****
*****ng.*****
*****.ya*****
*****g.wa*****
*****ng.*****
*****uan*****
*****.y*****
*****.x*****
*****.w*****
*****ong*****
*****.l*****
*****.c*****
*****n.y*****
*****.zh*****
*****.ch*****
*****.li*****
*****g.hu*****
*****ng.*****
*****n.l*****
*****e.h*****
*****an.*****
*****o.s*****
*****i.x*****
*****.hua*****
*****ng.*****
*****.pe*****
*****hon*****
*****.w*****
*****.t*****
*****ian*****
*****g.m*****
*****g.c*****
*****hui*****
*****wen*****
*****tan*****
*****zha*****
*****.li*****
*****.zh*****
*****e.c*****
*****.zh*****
*****.ho*****
*****i.l*****
*****ng.*****
*****ng.*****
*****ng.*****
*****ng.*****
*****i.w*****
*****ng.*****
*****u.c*****
*****i.y*****
*****ei.*****
*****g.zh*****
*****ing*****
*****g.hu*****
*****o.c*****
*****g.wa*****
*****g.*****
*****wan*****
*****u.g*****
*****ng.*****
*****n.h*****
*****.l*****
*****.ga*****
*****an.*****
*****hou*****
*****ang*****
*****ang*****
*****eng*****
*****iu1*****
*****ihh*****
*****ian*****
*****.h*****
*****ang*****
*****hen*****
*****.wa*****
*****.ch*****
*****n.z*****
*****.sh*****
*****ng.*****
*****n.l*****
*****i.y*****
*****i.w*****
*****i.n*****
*****ng.*****
*****i.y*****
*****che*****
*****uan*****
*****uan*****
*****u.l*****
*****e.j*****
*****ei.*****
*****g.me*****
*****hen*****
*****ng.z*****
*****ng.l*****
*****ng.c*****
*****ng.f*****
*****n.zh*****
*****.lia*****
*****ui.*****
*****ua.*****
*****g.ze*****
*****ong.*****
*****uan*****
*****n.hu*****
*****kun*****
*****i.zh*****
*****ang*****
*****ang*****
*****.yu*****
*****.ta*****
*****u.l*****
*****g.zh*****
*****zho*****
*****wan*****
*****sun*****
*****n.*****
*****n.c*****
*****.fa*****
*****n.t*****
*****a.l*****
*****ng.*****
*****ng.*****
*****i.p*****
*****eng*****
*****.l*****
*****.l*****
*****hen*****
*****an1*****
*****an1*****
*****an1*****
*****ma*****
*****as*****
*****.wa*****
*****g.z*****
*****.li*****
*****e.m*****
*****an.*****
*****n.w*****
*****n.z*****
*****e.z*****
*****ng.*****
*****han*****
*****.y*****
*****.w*****
*****.s*****
*****.m*****
*****.l*****
*****iao*****
*****.h*****
*****eng*****
*****a.z*****
*****.zh*****
*****u.x*****
*****an.*****
*****n.zh*****
*****n.wa*****
*****ren*****
*****liu*****
*****i.z*****
*****.wa*****
*****ang*****
*****an.*****
*****hao*****
*****wa*****
*****r*****
*****sz*****
*****lle*****
*****n.l*****
*****e.l*****
*****iao*****
*****.zha*****
*****huo*****
*****en.*****
*****n.ch*****
*****ing*****
*****g.ta*****
*****ng.m*****
*****e.l*****
*****.zho*****
*****ian*****
*****ai.*****
*****ng.h*****
*****ng.z*****
*****wen*****
*****wan*****
*****liu*****
*****.wa*****
*****.lu*****
*****.du*****
*****g.s*****
*****g.*****
*****ui*****
*****ui*****
*****ui*****
*****ui*****
*****ui*****
*****ng.*****
*****.li*****
*****ha*****
*****.zha*****
*****ng.*****
*****n.h*****
*****n.z*****
*****n.z*****
*****han*****
*****.x*****
*****ang*****
*****ang*****
*****iud*****
*****.l*****
*****.l*****
*****igh*****
*****.l*****
*****.k*****
*****.c*****
*****.lia*****
*****tan*****
*****g.*****
*****n.l*****
*****han*****
*****hen*****
*****.ch*****
*****ng.*****
*****.zh*****
*****n.h*****
*****ng.*****
*****ang*****
*****g.zh*****
*****ng.*****
*****an.*****
*****an.*****
*****.li*****
*****.di*****
*****n.l*****
*****.s*****
*****ng.*****
*****an.*****
*****.zha*****
*****ang*****
*****a.s*****
*****ng.*****
*****.xu*****
*****.ch*****
*****ng.*****
*****ao.*****
*****ng.*****
*****ng.*****
*****.hua*****
*****ei.*****
*****in.*****
*****ie.*****
*****eng.*****
*****yua*****
*****yin*****
*****ng.y*****
*****n.wa*****
*****n.ni*****
*****ran*****
*****min*****
*****lan*****
*****don*****
*****.ba*****
*****e.s*****
*****wan*****
*****ng.*****
*****uan*****
*****ga*****
*****ng.*****
*****.li*****
*****wan*****
*****che*****
*****ng.*****
*****.zh*****
*****.lu*****
*****g.g*****
*****wan*****
*****en*****
*****g.ti*****
*****o.xi*****
*****ua.*****
*****.zha*****
*****zhe*****
*****xia*****
*****shi*****
*****liu*****
*****g.*****
*****g.*****
*****che*****
*****iao*****
*****ng.*****
*****.zh*****
*****n.h*****
*****ang*****
*****ong*****
*****.li*****
*****ng.*****
*****i.m*****
*****ng.l*****
*****un.*****
*****ang*****
*****o.bi*****
*****.w*****
*****ang*****
*****eng*****
*****g.w*****
*****tb*****
*****o
*****
*****hao*****
*****.m*****
*****ing*****
*****o.y*****
*****u.z*****
*****u.t*****
*****o.ch*****
*****hen*****
*****ei.*****
*****ei.*****
*****i.h*****
*****un.*****
*****g.ya*****
*****eng*****
*****g.wa*****
*****g.zh*****
*****hen*****
*****o.z*****
*****jia*****
*****e.z*****
*****.zha*****
*****ang*****
*****.ze*****
*****g.y*****
*****n.z*****
*****ui.*****
*****g.zh*****
*****g.h*****
*****.ge*****
*****.li*****
*****.zh*****
*****.ch*****
*****.hu*****
*****.zha*****
*****n.j*****
*****n.d*****
*****hen*****
*****.l*****
*****uan*****
*****g.l*****
*****.ch*****
*****.ch*****
*****ya*****
*****g.w*****
*****hi.*****
*****ong*****
*****ya.c*****
*****u.h*****
*****g.zh*****
*****ang*****
*****an.*****
*****iu.*****
*****g.te*****
*****ei.*****
*****ui.*****
*****ui.*****
*****ui.*****
*****ua.*****
*****e.y*****
*****hen*****
*****yan*****
*****jia*****
*****e.p*****
*****zhe*****
*****shu*****
*****.hua*****
*****ui.y*****
*****g.q*****
*****.zh*****
*****.sh*****
*****ang.*****
*****.hu*****
*****e.p*****
*****a.l*****
*****ing*****
*****ong*****
*****aix*****
*****ao.*****
*****yu.*****
*****ng.b*****
*****an.s*****
*****lon*****
*****jun*****
*****jie*****
*****gon*****
*****eng.*****
*****.li*****
*****abi*****
*****zha*****
*****che*****
*****ang*****
*****eng*****
*****o.z*****
*****.li*****
*****zhu*****
*****zha*****
*****pen*****
*****liu*****
*****o.*****
*****lan*****
*****jin*****
*****ye.*****
*****xu.*****
*****eng.*****
*****eng.*****
*****i.zh*****
*****qiu*****
*****jin*****
*****jie*****
*****hui*****
*****da.*****
*****n.l*****
*****.zh*****
*****ng.*****
*****.hua*****
*****n.l*****
*****n.s*****
*****a.c*****
*****e.a*****
*****.wa*****
*****xia*****
*****i.*****
*****ang*****
*****wa*****
*****li*****
*****ang*****
*****ang*****
*****ga*****
*****eng*****
*****n.w*****
*****ng.c*****
*****ang*****
*****in.*****
*****ion*****
*****ao.*****
*****ie.*****
*****eng*****
*****yan*****
*****g.*****
*****wan*****
*****liu*****
*****n.t*****
*****.p*****
*****.m*****
*****.h*****
*****.wa*****
*****g.b*****
*****ng.g*****
*****.hua*****
*****ao.*****
*****ang*****
*****uo.*****
*****n.t*****
*****n.z*****
*****hao*****
*****.qi*****
*****-de*****
*****wan*****
*****g.l*****
*****.wa*****
*****me*****


5.大量旧邮箱弱密码,也不知道eleme到底要护哪边
涉及内部各种内部运营信息,和系统入口、密码等等,太多不爱翻了

0.png


0.1.png


0.3.png


mask 区域 
*****e —— *****
*****.me —^*****
***** —— *****
*****me —^*****
***** —— e*****
***** —— *****
***** —— e*****
*****me —^*****
*****^^— su*****
*****— ele*****
*****me ——*****
*****me —^*****
***** —— s*****
***** —— f*****
*****me ——*****
*****—— zh*****
***** —— *****
*****me ——*****
*****e —— *****
*****.me —^*****


.......
其实还可以继续.....算了

修复方案:

加强食品安全监管!
加强信息安全力度!

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-10-19 17:56

厂商回复:

非常感谢您的报告。这个问题我们已经确认,并已经联系过您,对您表示歉意和发放礼物。感谢对饿了么的支持和关注,有新的进展我们将及时同步。

最新状态:

2015-12-03:漏洞已修复,谢谢对饿了么的支持和关注!